Hlavní navigace

Postřehy z bezpečnosti: ROBOT se probouzí

CSIRT.CZ

Dnes se podíváme na útok ROBOT na šifrovanou komunikaci, na chybu nepozorného vývojáře společnosti HP, na nový ransomware na Balkánu a na konci vás čeká pozitivní zpráva progresivního charakteru ze severu. Přejeme příjemné čtení.

ROBOT útočí

Pokud si myslíme, že se s HTTPS už našim citlivým datům nemůže na síti nic zlého přihodit, nebuďme si zas až tak jisti. Tento týden přichází útok ROBOT zneužívající zranitelnost, díky které můžeme prolomit šifrovanou komunikaci. Přichází je silné slovo; zranitelnost existuje již dlouho a posledních 19 let se měla za vyřešenou. Záplata v TLS protokolu nebyla kompletní a tak 27 ze 100 nejnavštěvovanějších webů bylo dáno všanc, mezi nimi byl například i PayPal.

Mezi prvním miliónem webů bylo zranitelných však jen 30 000, protože chyba se vyskytovala v knihovně používané většinou pro drahé komerční produkty. Pokud útočník zachytí přenos mezi klientem a zranitelným TLS serverem a je schopen s TLS serverem navazovat spojení až milionkrát za sebou, útočník vyhrál a může ze zranitelnosti těžit. To výzkumníci demonstrovali tím, že testovací zprávu podepsali privátním klíčem HTTPS certifikátu Facebooku (ten již má záplatováno). Svůj vlastní server si můžete otestovat přes webové rozhraní. Pokud však nechcete čekat frontu, můžete si spustit pythoní skript, který tvůrci přiložili.

Naše postřehy

Minulý týden společnost HP vydala aktualizované ovladače pro stovky svých modelů. Hlavním úkolem aktualizace bylo odstranit debugovací kód, který mohl být útočníkem zneužit na „zkonstruování” keyloggeru. Celý problém spočíval v kódu, který je součástí ovladače Synaptics Touchpad. Bezpečnostní expert Michael Myng, který zranitelnost objevil, objasnil, že logování je sice implicitně vypnuté, ale to je možné jednoduše změnit pomocí jednoduché úpravy v registrech. Celou analýzu lze nalézt na GitHubu. Společnost HP chybu přiznala, podle jejich vyjádření jde o kód, který zde zapomněl nepozorný vývojář, což se ostatně nestalo poprvé.

Nový ransomware Spider se rozmohl na Balkáně. Útočníci dávají obětem 96 hodin na zaplacení. Je jim dokonce poskytnut video tutoriál, jak platba a následná obnova dat probíhá. Za zašifrováním dokumentů stojí škodlivý Office soubor, který je přikládán jako příloha do phishingových e-mailů. Když je pak škodlivý PowerShellu skript spuštěn, zobrazí se instrukce ke stáhnutí škodlivého payloadu Base64 hostovaném na YourJavaScript.com.

Skupina inženýrů z Princeton University přišla na způsob, jak sledovat polohu mobilního telefonu bez použití GPS. V podobě aplikace PinMe ukázali, že je možné zjistit polohu uživatele z informací, které mohou aplikace získat bez explicitního povolení na různé zdroje telefonu. Aplikace určí skrze magnetometr způsob pohybu (chůze, auto, vlak, letadlo) a následně díky znalosti časové zóny, poslední přiřazené IP adresy a tlaku vzduchu (který porovná s veřejně dostupnými informacemi o počasí) je schopna určit polohu zařízení s přesností na úrovni GPS.

A teď něco z Internetu. V úterý 12. 12. 2017 04:43 UTC byl díky BGPMon zaznamenán zajímavý úkaz. Celkem 80 BGP prefixů obvykle oznamovaných společnostmi Google, Apple, Facebook, Microsoft, Twitch NTT Communications a Riot games měly v globálním BGP routingu nastavený Origin AS na 39523 (DV-LINK-AS) z Ruska. Jedna ze zajímavostí je autonomní systém 39523 (DV-LINK-AS) do té doby nevyslal jediné oznámení už několik let (až na jednu výjimku během letošního roku). Vzhledem k důležitosti a počtu oznamovaných rozsahů lze tedy téměř určitě vyloučit neúmyslnou chybu a s největší pravděpodobností se tedy jedná o bezpečnostní incident s úmyslem přesměrovat a získat provoz někoho jiného. Celkem se tedy jednalo o dva pokusy mezi 04:43 UTC a 04:46 UTC a druhý začal 07:07 UTC a skončil 07:10 UTC.

Pracovníci z Dell Securework varují před zranitelností u dvou jednotek kontroly vstupu. Chyba poskytuje útočníkům možnost odemknout či zamknout dveře zasláním neautorizované žádosti na zranitelná zařízení. Jedná se o dva produkty AMAG Technology používané u modelů EN-1DBC a EN-2DBC. Nutno podotknout, že zařízení musejí být v základním nastavení, aby útočník mohl pomocí TCP/IP zaslat neautorizovanou žádost k otevření dveří.

NMI18_tip do clanku_obecny

A pozitivní tečka na závěr. Islandské Centrum bezpečnějšího Internetu přišlo s netradičním nápadem, vyzvalo veřejnost, aby se stala součástí neděle bez mobilních telefonů. Cílem této akce, která se konala 26. listopadu, bylo přimět veřejnost k úvaze týkající se využívání chytrých telefonů, a to především s ohledem na vzájemnou rodinnou komunikaci a interakci. Organizátoři akce vyzvali veřejnost k zamyšlení se nad tím, zda a jak mobilní telefony ovlivňují jejich vlastní vztahy v rámci blízké rodiny, a to jak ve vztahu rodičů k dětem, tak naopak. O této akci se dle dostupných dat dozvědělo více než 140 000 lidí. Neděli bez telefonu si pak vyzkoušelo přes 3 000 rodin.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.

Našli jste v článku chybu?